【解决方案】钢铁行业工业网络信息安全防护方案

为了更好地应对新的市场挑战，各钢铁企业都在积极推进信息化建设，近年来，钢铁企业的信息化建设取得了很大进展，企业信息化的功能框架，即PCS、MES和ERP系统投入了运行，取得了良好的成果。对于强化集团管控水平、规范内部管理、提高运作效率、节能减排、增产降耗发挥了巨大的作用。但与此同时，信息安全防护相对滞后，给企业信息化建设带来一些安全隐患。

钢铁行业控制网络说明及隐患分析      钢铁行业工业以太网一般采用环网结构，为实时控制网，负责控制器、操作站及工程师站之间过程控制数据实时通讯网络，网络上所有操作站、数采机及PLC都使用以太网接口并设置为同一网段IP地址，网络中远距离传输介质为光缆，本地传输介质为网线（如PLC与操作站之间）。生产监控主机利用双网卡结构与管理网相连。目前的系统存在以下信息安全隐患：

1、整个网络均采用同一网段的以太网通讯连接，任何连接到网络内的PC或操作站都能访问网络中所有的PLC，对PLC进行操作甚至破坏PLC的组态程序，直接造成PLC的控制单元失灵或是现场设备停机或损毁

2、IP地址可以随意分配，一旦发生地址冲突，就会造成设备停机

3、网络中无任何隔离防护设备，如果主控楼操作站感染病毒，病毒将会轻易蔓延至整个网络，可能会导致整个网络数据堵塞或操作站丧失操作能力，某些针对工业协议（如Modbus TCP）的病毒还可能会导致PLC控制单元死机，完全丧失控制能力

4、网络中无安全监控平台，无法对网络安全事故进行预警和分析，网络工程师将无法以最快的速度判断问题所在，也就无法迅速准确的做出防护和修复措施

解决方案

Guard安全防护方案网络拓扑图

区域隔离      在关键通道上部署Guard工业防火墙，保证即使某台设备局部出现问题，不会波及整套装置或工厂的安全稳定运行。同时对环网内不同装置划分VLAN，由于防火墙的作用即使出现非法IP地址也不能对PLC进行下装程序等操作。

通讯管控      通过对防火墙插件的组态，通讯规则只允许PLC制造商专有协议数据通过，其它基于Windows应用的不必要通讯以及病毒、非法访问等一律禁止，从而创造出一个单一制造商通信网络的环境。

集中管理      在网络中部署CMP配置管理平台，用于配置、管理、监测网络中所有的Guard工业防火墙，并接收来自防火墙的网络报警信息。无需停车，Guard工业防火墙特有的“测试”模式允许在线配置防火墙策略。

实时报警      通过CMP对报警事件的记录存储，为我们解决部分已发生过的安全事件提供分析依据，把网络安全问题消灭在萌芽中。

更多信息或动态，请关注青岛海天炜业官方网站或新浪微博：海天炜业。